sshでnfsっぽい事ができるsshfs

これは使えるかも。UNIX同士でファイル共有するのは私の周りではサーバー間のコンテンツ共有(Apacheは分散するけどユーザコンテンツは一箇所にするとかの場合)にnfs使ったりしていますが、これが後で負荷が増えたからという理由でウェブサーバー追加しても、データセンター上で別ラックになってLANは無理ですなんて事もある。そういうときの最終手段として暗号化nfsはいいかも。

sshでリモートサーバーをマウント、便利にsshfs – Unix的なアレ
http://d.hatena.ne.jp/wadap/20080603/1212506793

SSH接続の効率化

この前からTeraTermMenuの古い日本語版をカスタマイズしてコンパイルし使っていましたが、UTF版TeraTermには英語版の最新TeraTerm Menuが入ってました。それだけなら特に他の方法でやってみようという気にならなかったのですが、多段ログインのマクロを組んでいるときにヘルプを見たら…。普通にマクロの拡張子をTeraTermMacroに登録して利用できるようです。つまりマクロファイルダブルクリックでOKということなのでこれをスタートメニューとかクイック起動バーに登録すればTeraTermMenuは使わなくても良かったということです。

まずはwheelグループに属しているユーザでログインしsuでルートになる方法
username = ‘username’
hostname = ‘192.168.100.100’
password = ‘userpassword’
supass = ‘supassword’
ini = ‘black_euc.ini’
timeout = 30
msg = hostname
strconcat msg ‘:22 /ssh /auth=password ‘
strconcat msg ‘/user=’
strconcat msg username
strconcat msg ‘ /passwd=’
strconcat msg password
strconcat msg ‘ /f=’
strconcat msg ini
connect msg
pause 2
sendln ‘su -‘
wait ‘Password:’
sendln supass

iniの項目でカスタマイズしたiniファイルを定義します。これはサーバーによって扱っているロケールの文字コードが違う為文字コード別にiniファイルを作成しています。あとはDevelop/Staging/Publicで背景色と文字色を変えてサーバの取り違いミスを予防します。接続の後のpauseはサーバーの応答を待たずにsuコマンドを発行しないようにマクロ側を一時停止します。その後のwaitはサーバーからの応答を待ってパスワードを送信します。timeoutはwait用の値です。

上記はパスワード認証用ですが、次は公開鍵を使って1台目のサーバに接続しさらに他のサーバへsshへログインする方法です。(これはグローバルIPを持たないデータベース専用サーバ等でよく利用します)

username = ‘username’
hostname = ‘192.168.100.100’
password = ‘userpass’
key = ‘id_rsa’
rlhost = ‘192.168.100.101’
rluser = ‘rluser’
rlpass = ‘rlpass’
ini = ‘black_euc.ini’
msg = hostname
strconcat msg ‘:22 /ssh /auth=publickey ‘
strconcat msg ‘/user=’
strconcat msg username
strconcat msg ‘ /passwd=’
strconcat msg password
strconcat msg ‘ /keyfile=’
strconcat msg key
strconcat msg ‘ /f=’
strconcat msg ini
connect msg
pause 2

msg = ‘ssh -l ‘
strconcat msg rluser
strconcat msg ‘ ‘
strconcat msg rlhost
sendln msg
wait ‘Password:’
sendln rlpass

そして作成したマクロファイルをダブルクリックで起動できるように定義します。

WindowsXPでの登録方法
1.エクスプローラーの[ツール(T)]-[フォルダ オプション(O)]からファイルの種類タブをクリック。
2.[新規(N)]をクリック。
3.ファイル拡張子(F)の欄に「.ttl」と入力して[OK]をクリック
4.TTLファイルが登録されたら、「拡張子’TTL’の詳細」グループ内の[詳細設定(V)]ボタンをクリック。
5.一番上のテキスト入力は拡張子の種類に入る説明なので「Tera Term macro files
」と入力。
6.[アイコンの変更(I)]をクリックして好きなアイコンを選択。TeraTerm系のアイコンにしたい場合は[参照(B)]よりTeraTermのインストールされているフォルダへ参照しTeraterm実行ファイルの中から選択する。
7.[新規(N)]をクリックしアクションに「接続」と入力。実行するアプリーションは[参照(R)]でTeraTermマクロ実行ファイルを選択。この時%1が追加で挿入されるがダブルクォートで囲んで[OK]をクリック。
例) “C:Program Filesteratermttermpro.exe” “%1”
8.ついでに[新規(N)]でもうひとつ登録。アクションは「編集」でアプリケーションはTTLEditを選択する。
9.既定は「接続」になっていることを確認して[OK]をクリック。最後に[閉じる]をクリックして終了。

TTLEditはTeraTermマクロに特化したエディタで色分けもされているのでとても便利です。

 

SSHのクライアント認証

持ち歩くFreeBSDクライアントの方は一応DHCPと固定IPの複合で使えるようにしたので、他のPCからもSSHログインできるようにします。

この場合、接続場所によってサブネットが変わるのでIPフィルタでは大変です。それでクライアント認証を使い、ログインできる端末を制限します。

[Windowsで鍵生成]
Windows側で鍵を作成する場合はTeraTermを利用します。
ターミナル:Tera Term Professional Version 4.48 with Japanese resource
SSHクライアント:TTSSH ( Tera Term同梱)

日本語化バージョンで説明します。
(デスクトップが日本語・ノートが英語バージョン使っている変わり者です)

メニューの[設定]-[SSHキー作成]をクリックします。
キーの種類を選択し(今回はDSA)[生成]ボタンをクリックします。
しばらく待つと秘密鍵パスワードの設定が可能になりますので、パスワードを入れて[公開鍵の保存]と[秘密鍵の保存]でそれぞれ保存します。ここで作成された公開鍵をサーバに送ります。

[UNIX系で鍵生成]
# ssh-keygen -b 1024 -t dsa
Generating public/private dsa key pair.
Enter file in which to save the key (/home/user/.ssh/id_dsa):
保存場所を聞かれますがデフォルトでよければそのままEnter

Enter passphrase (empty for no passphrase):
秘密鍵パスワードを聞かれたらパスワードを入力。
これで秘密鍵(id_dsa)、公開鍵(id_dsa.pub)が生成されます。

[UNIXサーバ側の設定]
ログインするユーザのホームディレクトリの下に認証用の公開鍵をまとめるファイルを生成します。
最初のキーの場合はcpでも良いのですが、下記コマンドであれば新規・追加両方使えます。

> cat public_keyfile >> ~/.ssh/authorized_keys
通常公開鍵はid_dsa.pubなので

> cat id_dsa.pub >> ~/.ssh/authorized_keys
authorized_keysは複数の公開鍵を追加できるので、同じユーザ利用で他のクライアント用に別の秘密鍵を用いて認証することが可能です。